mimikatz - RunkIntel

# Mimikatz > [!warning] Ferramenta de Duplo Uso - Alta Prevalencia em IR > Mimikatz e a ferramenta de roubo de credenciais Windows mais amplamente utilizada tanto em red team quanto por atores maliciosos. Presente em **práticamente toda cadeia de ataque de ransomware** e em campanhas de APTs de todas as origens. Em 2024, foi detectada em 3,1% de todos os clientes Red Canary - tornando-a um dos threats mais comuns monitorados em ambientes corporativos globalmente. ## Visão Geral [[mimikatz|Mimikatz]] e uma ferramenta de código aberto para Windows desenvolvida pelo pesquisador frances **Benjamin Delpy** (GitHub: `gentilkiwi`) desde 2007. Originalmente criada como prova de conceito academica demonstrando vulnerabilidades no subsistema de autenticação Windows (LSASS / WDigest), tornou-se a **ferramenta de credential dumping mais amplamente adotada** tanto por pentesters quanto por grupos criminosos e APTs. O Mimikatz e catalogado pelo MITRE ATT&CK como S0002 - o segundo software documentado na base, refletindo sua importancia historica. Sua capacidade de extrair senhas em texto plano, hashes NTLM, tickets Kerberos e chaves de certificados de memoria LSASS sem arquivo adicional em disco o tornou indispensavel em operações de pos-exploração. Em 2024-2025, o Mimikatz continua relevante mesmo com EDRs avancados, sendo contornado via execução fileless (PowerShell `Invoke-Mimikatz`), injecao em beacons de [[s0154-cobalt-strike|Cobalt Strike]], e técnicas de dump de LSASS via ferramentas legitimas como ProcDump ou comsvcs.dll. | Campo | Detalhe | |-------|---------| | **Tipo** | Credential Dumping / Post-Exploitation Tool | | **Linguagem** | C (core) | | **Desenvolvedor** | Benjamin Delpy (gentilkiwi) | | **Primeira versao** | 2007 | | **MITRE ID** | S0002 | | **Plataformas** | Windows | | **Prevalencia 2024** | 3,1% de clientes Red Canary afetados | ## Como Funciona ### Módulo sekurlsa - Dump de LSASS O módulo mais usado. Acessa o processo LSASS (Local Security Authority Subsystem Service) via Windows Debug API para extrair credenciais de sessoes ativas: ``` sekurlsa::logonpasswords # senhas em texto plano + hashes NTLM de todos os usuarios logados sekurlsa::tickets # lista tickets Kerberos (TGT e TGS) em memoria sekurlsa::minidump lsass.dmp # analisa dump offline criado por ProcDump ``` Requer privilegio `SeDebugPrivilege` (normalmente disponível para Administrador local). A Windows Credential Guard e o LSA Protection (PPL) bloqueiam esse acesso - o Mimikatz inclui um driver `mimidrv.sys` para desativar PPL via chamada de kernel. ### Módulo lsadump - SAM e DCSync ``` lsadump::sam # hashes de contas locais da base SAM lsadump::dcsync /user:Administrator # extrai hash via replicacao de DC (sem acesso LSASS) lsadump::secrets # segredos LSA (senhas de servico, credenciais de contas de dominio) ``` **DCSync** (T1003.006) e particularmente poderoso: simula um Domain Controller realizando replicacao para extrair hashes de qualquer conta do dominio - incluindo KRBTGT - sem precisar tocar no LSASS do DC. Requer privilegios de Replication (normalmente Domain Admin ou similar). ### Módulo kerberos - Golden e Silver Tickets ``` kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-... /krbtgt:<hash> # Cria TGT forjado válido por 10 anos com KRBTGT hash extraido via DCSync kerberos::silver /user:user /service:cifs/server /rc4:<hash> # Cria ticket de servico específico sem contato com o DC ``` **Golden Ticket** (T1558.001): TGT forjado usando o hash NTLM da conta KRBTGT. Fornece acesso persistente de administrador de dominio mesmo após reset de senhas de outros usuarios, pois o ticket e assinado pelo KRBTGT. Inválido apenas após resetar a senha do KRBTGT **duas vezes**. **Silver Ticket** (T1558.002): Ticket forjado para um servico específico, bypass de MFA pos-autenticação, sem comunicação com o DC durante o uso. ### Pass-the-Hash e Pass-the-Ticket ``` sekurlsa::pth /user:admin /domain:corp.local /ntlm:<hash> # abre shell com hash NTLM kerberos::ptt ticket.kirbi # injeta ticket Kerberos roubado na sessao atual ``` ## Attack Flow - Uso Tipico em Intrusão ```mermaid graph TB A["Acesso Inicial Phishing Exploit Credenciais comprometidas"] --> B["Escalada de Privilegio Local Admin obtido SeDebugPrivilege habilitado"] B --> C["Dump de LSASS sekurlsa logonpasswords ou ProcDump offline"] C --> D["Coleta de Tickets sekurlsa tickets kerberos list export"] D --> E["DCSync lsadump dcsync Hash KRBTGT extraido"] E --> F["Golden Ticket kerberos golden Persistência de dominio"] F --> G["Movimento Lateral Pass-the-Hash Ticket Acesso a todos sistemas"] G --> H["Impacto Ransomware Exfiltração Persistência longa duracao"] classDef initial fill:#e74c3c,stroke:#c0392b,color:#fff classDef priv fill:#e67e22,stroke:#d35400,color:#fff classDef cred fill:#2980b9,stroke:#1a5276,color:#fff classDef kerberos fill:#8e44ad,stroke:#7d3c98,color:#fff classDef lateral fill:#27ae60,stroke:#1e8449,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A initial class B priv class C,D cred class E,F kerberos class G lateral class H impact ``` ## Timeline ```mermaid timeline title Mimikatz - Evolução e Técnicas 2007 : Criação por Benjamin Delpy : Prova de conceito de falhas Windows LSASS 2011 : Pass-the-Hash e Pass-the-Ticket : Primeiro uso documentado por atacantes 2014 : Golden Ticket implementado : DCSync adicionado - nao mais precisa de LSASS no DC 2016 : Adocao massiva por grupos APT : APT28 usa Mimikatz em eleicoes EUA 2018 : Integrado ao Cobalt Strike e Metasploit : Invoke-Mimikatz populariza execução fileless 2021 : Contornando Windows Credential Guard : Técnicas avancadas de bypass PPL/LSA 2023 : Técnicas de dump sem arquivo em disco : SilentProcExit, Herpaderping contra EDR 2024 : Prevalencia em 3,1% dos clientes Red Canary : Combinado com BRc4 e Sliver em campanhas 2025 : Ainda a ferramenta padrao de credential dumping : Adaptacoes constantes contra EDR modernos ``` ## TTPs Mapeados | Tática | Técnica | Módulo / Comando | |--------|---------|-----------------| | Acesso a Credenciais | [[t1003-001-lsass-memory\|T1003.001]] | `sekurlsa::logonpasswords` - dump de memoria LSASS | | Acesso a Credenciais | [[t1003-002-security-account-manager\|T1003.002]] | `lsadump::sam` - hashes de contas locais | | Acesso a Credenciais | [[t1003-006-dcsync\|T1003.006]] | `lsadump::dcsync` - replicacao de DC remota | | Acesso a Credenciais | [[t1555-credentials-from-password-stores\|T1555]] | `lsadump::secrets` - segredos LSA | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credenciais de navegadores via vault Windows | | Acesso a Credenciais | [[t1555-004-windows-credential-manager\|T1555.004]] | `sekurlsa::wdigest` - credenciais do Windows Credential Manager | | Acesso a Credenciais | [[t1552-004-private-keys\|T1552.004]] | `crypto::certificates` - chaves privadas | | Movimento Lateral | [[t1550-002-pass-the-hash\|T1550.002]] | `sekurlsa::pth` - autenticação com hash NTLM | | Movimento Lateral | [[t1550-003-pass-the-ticket\|T1550.003]] | `kerberos::ptt` - injecao de ticket Kerberos | | Forjá de Credenciais | [[t1558-001-golden-ticket\|T1558.001]] | `kerberos::golden` - TGT forjado com hash KRBTGT | | Forjá de Credenciais | [[t1558-002-silver-ticket\|T1558.002]] | `kerberos::silver` - ticket de servico específico | | Persistência | [[t1547-005-security-support-provider\|T1547.005]] | `misc::memssp` - instala SSP para captura persistente | | Escalada | [[t1134-005-sid-history-injection\|T1134.005]] | `sid::patch` - injecao de SID history | | Evasão | [[t1207-rogue-domain-controller\|T1207]] | `lsadump::dcsync` imitando DC legitimo | | Manipulação | [[t1098-account-manipulation\|T1098]] | Manipulação de contas via privilegios obtidos | ## Relevância LATAM/Brasil O Mimikatz e consistentemente utilizado por todos os grupos que operam na América Latina e no Brasil. O [[g0050-apt32|APT32]] e o [[ta505|TA505]] empregam Mimikatz em campanhas contra setores [[financial|financeiro]] e [[government|governamental]] brasileiros. Grupos de ransomware como [[g0102-conti-group|Wizard Spider]] (Black Basta, Ryuk), afiliados de [[g1024-akira|Akira]] e [[g1040-play|Play]] - todos ativos no Brasil - utilizam Mimikatz como ferramenta padrao de pos-exploração para roubo de credenciais antes da exfiltração e cifragem. Em 2024-2025, a América Latina registrou aumento de 78% em eventos de ransomware, com Mimikatz presente na grande maioria das cadeias investigadas por times de IR. O [[g1016-fin13|FIN13]], grupo de ameaça com foco específico no Mexico e LATAM, utiliza Mimikatz junto com [[s0357-impacket|Impacket]] para extracoes de NTDS.dit em operações de intrusão prolongada contra organizacoes financeiras e de varejo da regiao. ## Detecção e Defesa **Event IDs prioritarios:** - **Sysmon Event ID 10 (ProcessAccess):** Acesso a `lsass.exe` com `GrantedAccess` bitmask `0x1010` ou `0x1410` - padrao de `sekurlsa::` do Mimikatz. Este e o indicador mais confiavel. - **Windows Event ID 4662:** Replicacao de dominio de fonte nao-DC - DCSync attack. Qualquer conta de usuario (nao de computador) realizando replicacao e altamente suspeita. - **Windows Event ID 4769 (Kerberos TGS Request):** Tipo de criptografia `0x17` (RC4-HMAC) para contas de servico - padrao de Kerberoasting preparatorio ao Golden/Silver Ticket. - **Windows Event ID 4624 + 4627:** Logons com ticket Kerberos forjado se manifestam como logon Tipo 3 sem preambulo de Tipo 2 esperado. - **Sysmon Event ID 1 (ProcessCreaté):** Hashes conhecidos de `mimikatz.exe` via IMPHASH; variantes renomeadas identificaveis pelo mesmo hash de importacao. **Regras Sigma:** - `proc_creation_win_hktl_mimikatz_command_line.yml` - detecta parametros `sekurlsa`, `lsadump`, `kerberos::`, `crypto::` em command-line. - `sysmon_lsass_access_mimikatz.yml` - acesso a lsass.exe com OpenProcess handle `0x1010`. - YARA: `windows_hacktool_mimikatz` - strings internas como `sekurlsa::`, `kerberos::`, `lsadump::` (repositorio Neo23x0/signature-base). **Mitigacoes:** - Habilitar **Windows Credential Guard** e **LSA Protection (PPL)** - bloqueia acesso direto ao LSASS. - Configurar `HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 0` - desabilita armazenamento de senha em texto plano no WDigest. - Implementar **Privileged Access Workstations (PAW)** para administradores de dominio. - Resetar senha do KRBTGT **duas vezes** em caso de comprometimento suspeito do dominio. - Monitorar acesso com privilegio `SeDebugPrivilege` por processos que nao sao ferramentas de depuracao legitimas. ## Referências - [1](https://attack.mitre.org/software/S0002) MITRE ATT&CK S0002 - [2](https://github.com/gentilkiwi/mimikatz) GitHub gentilkiwi/mimikatz - repositorio oficial - [3](https://redcanary.com/threat-detection-report/threats/mimikatz/) Red Canary - Threat Detection Report 2024 - [4](https://www.proofpoint.com/au/threat-reference/mimikatz) Proofpoint - Mimikatz Reference - [5](https://www.sentinelone.com/cybersecurity-101/threat-intelligence/mimikatz/) SentinelOne - Mimikatz Technical Overview - [6](https://www.av-comparatives.org/wp-content/uploads/2024/05/avc_LSASS_2024_CrowdStrike.pdf) AV-Comparatives - LSASS Dumping 2024 - [7](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a) CISA AA23-347A - Iranian APT uso de Mimikatz (2023) - [8](https://cloud.google.com/blog/topics/threat-intelligence/fin13-cybercriminal-mexico/) Mandiant - FIN13 uso de Mimikatz no Mexico